Kamis, Agustus 04, 2011

Wordpress Security: Tutorial Decrypt Code di Footer.php

Penulis Day Milovich | Kamis, Agustus 04, 2011 | 00.52.00 |

Fungsi "footer.php"
"Footer.php" biasanya digunakan untuk
+ menempatkan link dan info pembuat theme,
+ menempatkan code google analytics,
+ menempatkan script-script jQuery,
+ memanggil "footer-widget.php" yang didefinisikan pemakai, waktu mengubah-ubah theme. Misalnya, diberi widget yang berisi "recent comments", "categories", dst.

Apa masalahnya?
Ternyata, fungsi di atas menjadi masalah berat, jika code yang ditempatkan adalah evil-code (kode jahat).

Kasus: Popularitas dan Kode yang Bermasalah
Mari membuat kalkulasi dan memperkirakan kemungkinan.
Misalnya, sebuah theme bernama "Genius" dijual dengan harga $75 dengan sekian feature yang menarik. Orang ingin download. Theme ini disebar di mana-mana, termasuk di website underground yang menyediakan theme premium. Tentunya, traffic website seperti ini sangat tinggi. Singkat cerita, orang-orang yang memakai theme ini, mencapai 500 orang. Kalau saja suatu website yang memakai theme "Genius"tadi dibuka "hanya" satu kali, berarti ada 500 kali "footer.php" di-render dari "index.php", atau dalam bahasa biasa: "footer.php" dibuka 20 ribu kali. Padahal, tidak mungkin dibuka hanya 1 kali. Untuk mendesain-ulang sebuah website dengan theme yang baru, setidaknya Anda lakukan preview sampai 50 kali. Belum terhitung preview saat posting, atau saat dibuka visitor website Anda.
Semacam ini, kalau dengan hitungan minimal:

1 theme "Genius" x 500 install x 50 page view sang designer x 10 visitor = 250.000 loading!!!
Sekali lagi, itu hitungan perkalian minimal.

Apa yang terjadi, jika sebuah link atau sebuah code disisipkan di "footer.php"?

Konsekuensinya bisa panjang:
+ backlink yang bertambah (siapa yang tidak suka?)
+ popularitas keyword meningkat (siapa yang tidak suka?)
+ bisa menginjeksikan code di 500 website jika theme Anda dipasang 500 orang.

Benar,, Anda bisa menempatkan "code" di "footer.php"
Singkatnya,, "footer.php" bisa menjadi masalah besar, jika disisipi evil code.
Code bisa disembunyikan dari mata biasa, dengan melakukan encryption.

Wordpress Security: Tutorial Decrypt Code di Footer.php

Berikut ini tutorial untuk decrypt code footer.php

Download dulu theme yang bermasalah. Bisa dari mana saja.
Tidak perlu takut kena evil code.
Contohnya, saya buka info tentang theme "Genius" dari sini:
http://scriptmafia.org/blog/7017-wp-genius-wordpress-premium-theme.html

Download dari HotFile, mendapat file ini:
WPsoloGENNM09IUS.rar

Isinya komplet. Ada theme, documentation, bahkan source code. Senang? Nanti dulu.

Buka file footer.php yang bermasalah. Tidak harus footer.php tetapi biasanya pemasangan evil code di footer.php
1. Buka file "footer.php" dengan Notepad++
2. Kalau isinya evil code, isinya code aneh seperti ini:

<?php $_F=__FILE__;$_X='Pz48P3BocCBnbDJiMWwgJDJwdDQybnM7IGYycjUxY2ggKCQycHQ0Mm5zIDFzICR2MWwzNSkgeyA0ZiAoZzV0X3M1dHQ0bmdzKCAkdjFs​MzVbJzRkJ10gKSA9PT0gRkFMU0UpIHsgJCR2MWwzNVsnNGQnXSA9ICR2MWwzNVsnc3RkJ107IH0gNWxzNSB7ICQkdjFsMzVbJzRkJ10gP​SBnNXRfczV0dDRuZ3MoICR2MWwzNVsnNGQnXSApOyB9IH0gPz4NCg0KCTwvZDR2Pg0KDQoJPGQ0diA0ZD0iYjJ0dDJtLWMxdHMiIGNsMX​NzPSJjbDUxcmY0eCI+DQoJCTwzbD48P3BocCB3cF9sNHN0X2MxdDVnMnI0NXMoJ2g0NXIxcmNoNGMxbD0wJnQ0dGw1X2w0PScpOyA/Pjw​vM2w+DQoJPC9kNHY+DQoNCjw/cGhwIDRmICggJHdwX2c1bjQzc19mMjJ0NXJfdzRkZzV0cyA9PSAnWTVzJyApIHsgPz4NCjw/cGhwIDRu​Y2wzZDUgKFRFTVBMQVRFUEFUSCAuICcvZjIydDVyLXc0ZGc1dHMucGhwJyk7ID8+DQo8P3BocCB9ID8+DQoNCjwvZDR2Pg0KDQo8ZDR2I​DRkPSJmMjJ0NXIiIGNsMXNzPSJjbDUxcmY0eCI+DQoJPGQ0diBjbDFzcz0ibDRtNHQiPg0KCQkmYzJweTsgPD9waHAgXzUoIkMycHlyNG​dodCIpOyA/PiA8MSBocjVmPSI8P3BocCBibDJnNG5mMignM3JsJyk7ID8+Ij48P3BocCBibDJnNG5mMignbjFtNScpOyA/PjwvMT4gPD9​waHAgNWNoMiBkMXQ1KCdZJyk7ID8+LiBTaDFyNWQgMXQgPDEgaHI1Zj0iaHR0cDovL3d3dy5uNW01czRzbTVkNDFzLmMybSIgdDFyZzV0​PSJfYmwxbmsiPk41bTVzNHNtNWQ0MTwvMT4NCgk8L2Q0dj4NCjwvZDR2Pg0KDQo8P3BocCB3cF9mMjJ0NXIoKTsgPz4NCg0KPC9iMmR5P​g0KDQo8L2h0bWw+DQo=';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwb​GFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));?>


3. Tentukan jenis enkripsi yang digunakan

Contoh di atas memperlihatkan,, ada 2 enkripsi:
1. yang diawali dengan

$_F=__FILE__;$_X='

2. dan code

eval(base64_decode('
---
4. Melakukan Decrypt:
Persoalan: bagaimana cara men-decrypt code .php?
Ada banyak metode untuk encrypt/decrypt code .php

Tools Online untuk Decrypt Code footer.php

1. Jika encoded textnya diawali $o=whatever
http://ottodestruct.com/decoder.php
2. jika encoded textnya diawali $_F=__FILE__
http://www.tareeinternet.com/scripts/byterun.php
3. jika diawali eval(gzinflate(base64_decode(‘…’)));
http://www.tareeinternet.com/scripts/decrypt.php
4. jika gagal,, baca petunjuk yang terdapat di alamat tersebut.
5. jika masih gagal, gunakan alamat ini:
http://cyko.decodethe.net/
http://www.functions-online.com/base64_decode.html
http://www.functions-online.com/base64_encode.html
6. jika tetap gagal, search google dengan query:
decrypt 64 php
7. jika masih gagal juga,, hubungi saya.

5. Baca hasilnya dan lakukan pembenahan.
Ini sebagian hasil decrypt dari code yang aku kutip dari "footer.php" (dalam contoh)

<?php global $options; foreach ($options as $value) { if (get_settings( $value['id'] ) === FALSE) { $$value['id'] = $value['std']; } else { $$value['id'] = get_settings( $value['id'] ); } } ?>
</div>
<div id="bottom-cats">
<ul><?php wp_list_categories('hierarchical=0&title_li='); ?></ul>
</div>
<?php if ( $wp_genius_footer_widgets == 'Yes' ) { ?>
<?php include (TEMPLATEPATH . '/footer-widgets.php'); ?>
<?php } ?>
</div>
<div id="footer">
<div>
© <?php _e("Copyright"); ?> <a href="<?php bloginfo('url'); ?>"><?php bloginfo('name'); ?></a> <?php echo date('Y'); ?>. Shared at <a href="http://www.nemesismedias.com" target="_blank">Nemesismedia</a>
</div>
</div>
<?php wp_footer(); ?>
</body>
</html>


Postscript
Anda bisa tingkatkan backlink, menaikkan popularitas "keyword", atau menyisipkan code di "footer.php". Tidak perlu di-encrypt. Submit (kirimkan) di wordpress.org agar semua orang menikmati, atau jual di situs penjual theme. Sebenarnya,, menghadapi "footer.php" yang di-encrypt,, tidak serumit penjelasan saya di atas. Jangan pernah panik.
Cara di atas hanya untuk memecahkan encryption yang mungkin terdapat di file "footer.php". Semacam membongkar kedok. Anda boleh menghapus "semua" content di file "footer.php" dan menggunakan "footer.php" standard, misalnya, dari theme "Twenty Ten" keluaran Wordpress.

Day Milovich,,

8 komentar:

  1. om boleh di decode kan ni gak makasih

    BalasHapus
    Balasan
    1. mana code yang mau di-dec0de? upload saja di pastebin.com terus link-nya ditaruh di sini.

      Hapus
    2. coba gan
      http://pastebin.com/UXuz9viw

      Hapus
    3. $O000O0O00=$OOO000O00($OOO0O0O00,'rb');$O0O00OO00($O000O0O00,0x4f9);$OO00O00O0=$OOO0000O0($OOO00000O($O0O00OO00($O000O0O00,0x17c),'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'));eval($OO00O00O0);

      Hapus
  2. terimakasih banyak sob, tutorialnya sangat membantu...

    BalasHapus
  3. mau tau dong cara mecahin file php yang sudah di encode begimana? masih rumit untuk ku

    BalasHapus

Anda bisa berkomentar tanpa perlu login.

 
Day Milovich (c) 2013. Diberdayakan oleh Blogger.